Das Remote Desktop Protocol (RDP) unterstützt Administratoren dabei, Windows-Systeme zu managen und User bei Problemen zu unterstützen. Allerdings steht RDP auch bei kriminellen Hackern hoch im Kurs: Die Angriffstechnik RDP Hijacking ermöglicht es ihnen, als vermeintlich legitimer Nutzer Zugang und Kontrolle über IT-Systeme zu erlangen.
Da Remote-Administration und -Management wie es beispielsweise RDP für Windows-Geräte ermöglicht, im Zuge der Coronakrise für Unternehmen aller Branchen erheblich an Bedeutung gewonnen hat, steigt die Gefahr, Opfer von RDP-Hijacking-Attacken zu werden. Ganz abgesehen von aktuellen Entwicklungen: Alleine aufgrund der Tatsache, dass in der Mehrheit der Unternehmensnetze Windows- und Windows-Server-Systeme miteinander verbunden sind und Admins RDP verwenden, ist es unabdingbar, sich der damit verbundenen Risiken bewusst zu sein.
Lesen Sie, wie die Kompromittierung per RDP vonstatten geht, und wie Sie sich dagegen wappnen können.
RDP Hijacking - Definition
RDP Hijacking ist kein besonders neues Phänomen. Vielmehr handelt es sich um eine Technik, die schon einige Jahre auf dem Buckel hat und oftmals nicht auf gängiger Schwachstellenausnutzung - etwa per Phishing - basiert, sondern völlig legitime Features des RDP Service unter Windows ausnutzt.
Beim RDP Hijacking setzt ein Angreifer eine zuvor beendete RDP-Verbindung fort. Das verschafft ihm Zugang zu privilegierten Systemen, ohne dazu die entsprechenden Login-Daten stehlen zu müssen. Wenn zum Beispiel ein Administrator vor einigen Tagen einen Windows Server per RDP konfiguriert hat, ist es für einen Angreifer deutlich einfacher, diese Session "wiederaufzunehmen", statt per Social Engineering zu versuchen, an das Passwort des Admins zu gelangen.
Einmal im System angelangt, kann sich der Angreifer lateral durch das Unternehmensnetz bewegen und bleibt dabei unentdeckt - schließlich handelt es sich für Monitoring Software um einen vermeintlich autorisierten Nutzer.
RDP Hijacking - Proof of Concept
Es gibt verschiedene Wege, um eine RDP Session fortzusetzen. Ursprünglich wurde das Vorgehen im Jahr 2011 von Benjamin Delpy, Entwickler des Pentesting Tools mimikatz, entdeckt. Im Jahr 2017 demonstrierte Security-Spezialist Alexander Korznikov, wie sich dieselbe Vorgehensweise für Privilege-Escalation-Angriffe auf Windows-Systeme nutzen lässt.
Passwordless Hijacking
Wir konzentrieren uns in diesem Artikel auf die RDP-Hijacking-Methode, die sich das Windows-Bordmittel Tscon.exe zu Nutze macht. Die Utility ermöglicht es Nutzern, zu einer neuen Remote-Desktop-Session zu wechseln oder zwischen verschiedenen Sessions hin- und herzuwechseln.
Die Syntax des Befehls ist simpel - die Microsoft Knowledge Base gibt Aufschluss darüber, was die einzelnen Parameter nach sich ziehen:
tscon {<SessionID> | <SessionName>} [/dest:<SessionName>] [/password:<pw> | /password:*] [/v]
Das einfachste Beispiel wäre tscon 2
: Dieser Befehl würde - auf einem Host Server ausgeführt - den User mit der Session ID 2 verbinden und alle bereits bestehenden Verbindungen trennen. Microsoft selbst warnt jedoch: "Sie müssen bei der Nutzung von Tscon.exe Vorsicht walten lassen, um einen zuvor unzugänglichen Server nicht versehentlich offen zu hinterlassen."
Um eine fremde Remote-Desktop-Session zu übernehmen, muss der Angreifer mit dem RDP Host verbunden sein. Um das zu bewerkstelligen, ist "Vorarbeit" nötig: Insofern der Hacker kein Innentäter ist, braucht er entsprechende Zugangsdaten. Besonders gefährlich ist diese Art des Hacker-Angriffs, weil sie regelmäßig auch Bestandteil von APT-Angriffen ist.
Ist ein System - etwa durch Malware - kompromittiert, ermöglicht diese Technik es Angreifern, die Sessions und Umgebungen weiterer Nutzer zu übernehmen, ohne dass dazu ein Passwort nötig ist. Mit Bezug auf das Schaubild würde sich der maliziöse Nutzer bei Client 3 am RDP Server anmelden und wäre in der Lage, alle verbundenen RDP User zu sehen. Dazu braucht er nur folgenden Befehl: query user
.
Anschließend reichen die folgenden Eingaben in die Kommandozeile aus, um die laufende Session des Angreifers (ID 2) zu beenden und die zuvor unterbrochene Session 1 zwischen Angreifer und RDP Server wiederaufzunehmen:
sc create hijackedsession binpath= "cmd.exe /k tscon 1 /dest:rdp-tcp#2"
net start hijackedsession
Dabei wird weder ein Passwort abgefragt, noch werden dabei Spuren hinterlassen, die per IT-Forensik ausgewertet werden könnten. Der Grund: Der User, der zuvor an Client 2 aktiv war, hat zwar seine RDP Session beendet, sich aber nicht explizit vom Server abgemeldet.
RDP Hijacking - Abwehrmaßnahmen
Aus genannten Gründen ist eine Monitoring-Lösung kein Mittel gegen RDP Hijacking. Auch ein Betriebssystem-Upgrade schafft keine Abhilfe, denn die Angriffstechnik betrifft so gut wie alle Versionen von Windows Server. Dennoch gibt es zwei wesentliche Verteidigungsmaßnahmen, die Sie gegen RDP Hijacking ergreifen können:
Gruppenrichtlinien durchsetzen: Anstatt "getrennte" Remote-Desktop-Sitzungen länger im Ruhezustand zu belassen, sollten die Einbstellungen in den Gruppenrichtlinien so geändert werden, dass Benutzer entweder sofort oder kurz nach dem Trennen der Verbindung zu einer RDP-Sitzung abgemeldet werden. Das verhindert Passwordless Hijacking.
Angriffsfläche verringern: Es macht keinen Sinn, RDP Services und Ports für jedermann im Internet offen zu halten. Allerdings können Einschränkungen im Fall von RDP schnell dazu führen, dass die Remote Administration an ihre Grenzen kommt. Wenn Zugriff über das Internet erforderlich ist, empfiehlt sich an dieser Stelle der Einsatz von Microsoft Remote Desktop Gateway oder Azure Multi-Factor Authentication Server als günstige Lösung zur Multi-Faktor-Authentifizierung. (fm)
Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.